Лицензирование в сфере технической защиты информации

• Разобрать правовую основу лицензирования деятельности в области ТЗИ
• Определить виды работ, подлежащие обязательному лицензированию
• Изучить лицензионные требования ФСТЭК к соискателям
• Рассмотреть порядок получения, переоформления и аннулирования лицензии
• Показать связь лицензирования с сертификацией и аттестацией

Лицензия — специальное разрешение на право осуществления юридическим лицом или ИП конкретного вида деятельности.

• Подтверждается записью в едином реестре лицензий
• Действует бессрочно (с 2011 г.)
• Выдаётся уполномоченным федеральным органом
• Формирует гарантии соблюдения требований безопасности

Основание: ФЗ № 99-ФЗ от 04.05.2011 «О лицензировании отдельных видов деятельности»

Лицензионные требования устанавливаются исключительно положениями о лицензировании, утверждаемыми Правительством РФ.

• ГИС — госинформсистемы (ФЗ-149, Приказ ФСТЭК № 17)
• ИСПДн — персональные данные (ФЗ-152, Приказ ФСТЭК № 21)
• КИИ — критическая информационная инфраструктура (ФЗ-187, Приказы ФСТЭК № 235, 239)
• Коммерческая/Служебная тайна — ограниченный доступ, не гостайна

Лицензирование охватывает техническую защиту информации по всем указанным направлениям, кроме сведений, составляющих государственную тайну.

Согласно ПП РФ № 79, лицензированию подлежит деятельность по технической защите конфиденциальной информации, включающая:

• Контроль защищённости от утечки по техническим каналам
• Контроль защищённости от НСД и модификации в средствах информатизации
• Мониторинг информационной безопасности
• Аттестационные испытания и аттестация объектов
• Проектирование в защищённом исполнении
• Установка, монтаж, наладка, ремонт СЗИ

Отдельный лицензируемый вид (ПП РФ № 171):

• Создание программных и программно-технических СЗИ
• Разработка защищённых средств обработки информации
• Производство технических средств защиты информации

Техническое обслуживание СЗИ для собственных нужд организации лицензии не требует.

• Осуществляет лицензирование деятельности по ТЗКИ
• Ведёт реестр лицензий (публичный, онлайн)
• Проводит плановые и внеплановые проверки
• Утверждает формы документов, перечни оборудования и НПА
• Осуществляет методическое руководство

Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17
Консультации: Вт, Чт 10:00–12:00 (495) 632-14-48, 693-68-68

Лицензионные требования направлены на обеспечение целей лицензирования и включают:

• Наличие квалифицированных специалистов в штате
• Соответствующую материально-техническую базу (помещения)
• Необходимое контрольно-измерительное оборудование (КИО)
• Аттестованные/сертифицированные АС и СЗИ
• Актуальную нормативную и техническую документацию

Образование подтверждается дипломом/справкой, стаж — трудовой книжкой или договором.

• Минимум 2 специалиста в штате по основному месту работы
• Высшее образование в области ИБ + стаж ≥ 3 лет
• Или иное высшее + стаж ≥ 3 лет + ППП по ИБ (≥ 360 ч.)
• Все специалисты учитываются в штатном расписании

Допускается привлечение внешних экспертов только для консультаций, но не для выполнения лицензируемых работ.

• Обязательно для руководителя и инженеров
• Периодичность: не реже 1 раза в 5 лет
• Объём программ: от 16 до 144 ак. часов
• Подтверждается удостоверением установленного образца

Отсутствие действующего удостоверения о повышении квалификации является основанием для приостановления действия лицензии при проверке.

• Наличие на праве собственности или законном основании (аренда, субаренда)
• Достаточная площадь для размещения персонала и оборудования
• Условия для работы с информацией ограниченного доступа
• Наличие защищаемых помещений для конфиденциальных переговоров (при необходимости)

Проверяется наличие договоров, правоустанавливающих документов и соответствие санитарным/пожарным нормам.

• Принадлежит соискателю на законном основании
• Соответствует Перечню ФСТЭК (33 позиции)
• Обязательная метрологическая поверка или калибровка
• Сертификаты СЗИ для контроля эффективности
• Средства статического анализа исходного кода (для разработки)

Примеры: измерительные антенны, микрофоны, вибродатчики, анализаторы спектра.

• АС предназначены для обработки конфиденциальной информации
• Должны быть аттестованы по требованиям безопасности информации
• СЗИ, применяемые в АС, должны иметь сертификаты соответствия
• Допускаются отечественные ОС, СУБД и прикладное ПО

Проверяются аттестаты соответствия, технические паспорта, акты классификации.

Утверждён ФСТЭК (актуальная редакция от 10.12.2024, 76 пунктов). Включает:

• Положение о системе сертификации СЗИ (Приказ № 55)
• Базовая модель угроз БИ ПДн
• Требования к СОВ, САВЗ, МЭ, ОС, СУБД
• Методики оценки угроз, уязвимостей, тестирования
• ГОСТ Р 56939-2024 «Разработка безопасного ПО»

1. Заявление по форме (Приказ ФСТЭК № 3 от 12.01.2023)
2. Сведения о квалификации специалистов + копии дипломов/удостоверений
3. Копии документов на помещения (право собственности/аренда)
4. Сведения об аттестованных защищаемых помещениях
5. Сведения об аттестованных АС (аттестаты, паспорта)
6. Сведения об оборудовании (свидетельства о поверке)
7. Сведения о наличии НПА и методических документов

• Подписывается руководителем юридического лица/ИП
• Указываются виды работ/услуг согласно п. 4 ПП № 79
• Подаётся лично, по почте с уведомлением или через ЕПГУ
• Госпошлина за предоставление лицензии: 7 500 руб.
• Рассматривается до 45 рабочих дней

Неполный пакет возвращается на доработку в течение 3 рабочих дней.

1. Регистрация и проверка комплектности (3 раб. дня)
2. Анализ соответствия требованиям (до 30 раб. дней)
3. Выездная проверка МТБ и квалификации (при необходимости)
4. Принятие решения о выдаче или отказе
5. Внесение в реестр и уведомление заявителя

Результат: электронная лицензия, подписанная ЭП ФСТЭК. Бумажный носитель по запросу.

• Несоответствие лицензионным требованиям
• Недостоверные или искажённые сведения в заявке
• Отсутствие необходимых документов или несоответствие формам
• Наличие сведений в реестре недобросовестных поставщиков
• Неустранение замечаний в установленный срок

Решение об отказе мотивируется и может быть обжаловано в суде (3 месяца).

Обязательно при изменении:

• Наименования или организационно-правовой формы юрлица
• Юридического адреса или адреса места нахождения
• Сведений руководителя (ФИО, паспортные данные)
• Адресов мест осуществления деятельности
• Перечня выполняемых работ/услуг

Срок переоформления: до 10 рабочих дней. Госпошлина: 3 500 руб.

• Проверка соблюдения лицензионных требований
• Плановые проверки (не чаще 1 раза в 3 года)
• Внеплановые проверки (по жалобам, инцидентам, рискам)
• Документарные и выездные формы
• Мониторинг реестра лицензий и публичных источников

Проводится ФСТЭК и его территориальными управлениями.

Приостановление:

• На срок до 90 дней для устранения нарушений
• Запрет на выполнение новых работ в период приостановки

Аннулирование (прекращение действия):

• По решению ФСТЭК или суда
• При неустранении нарушений в срок
• При ликвидации юрлица/прекращении деятельности ИП
• Повторное получение возможно через 1 год

• Лицензия разрешает деятельность, сертификат подтверждает качество СЗИ
• Для получения лицензии необходимо применять сертифицированные СЗИ
• Разработчик СЗИ обязан иметь лицензию ФСТЭК
• Сертификат выдаётся на срок до 5 лет, лицензия — бессрочно

Системы взаимосвязаны: отсутствие сертификатов СЗИ у лицензиата ведёт к предписанию ФСТЭК.

• Участники: ФСТЭК (фед. орган), органы по сертификации, испытательные лаборатории, изготовители
• Схемы: единичный образец, партия, серийное производство
• Объекты: средства защиты от утечки, НСД, СОВ, антивирусы, СДЗ, МЭ
• Результат: сертификат соответствия, запись в госреестре

6 уровней доверия (1 — высший, 6 — низший). Определяют глубину анализа:

• 6-5 уровни: КИИ 3-2 категории, ГИС 3-2 класса, ИСПДн 3-2 уровня
• 4 уровень: КИИ 1 категории, ГИС 1 класса, ИСПДн 1 уровня, ИСОП II класса

Требования включают модель безопасности, анализ скрытых каналов, документацию по разработке, управление конфигурацией, поддержку безопасности.

• Подтверждает соответствие объекта требованиям защиты информации
• Проводится до ввода в эксплуатацию или после модернизации
• Результат: аттестат соответствия, срок — до 5 лет (или бессрочно для некоторых объектов)
• Выполняется организациями, имеющими лицензию на аттестационные работы

Без аттестата эксплуатация ГИС, ИСПДн и КИИ запрещена.

• Применяется для СЗИ, используемых в ВС РФ и оборонном секторе
• Федеральный орган: Восьмое управление ГШ ВС РФ
• Участники: органы по сертификации, испытательные лаборатории Минобороны
• Требования дополняются ведомственными стандартами и ТТЗ
• Срок действия сертификата — до 5 лет

Лицензирование ТЗКИ находится в исключительной компетенции ФСТЭК.

1. Аудит текущих ресурсов (кадры, помещения, КИО, НПА)
2. Обучение/наём специалистов (1,5–2 мес.)
3. Закупка/поверка КИО (от 8 нед.)
4. Приобретение лицензионного ПО и сертифицированных СЗИ
5. Аттестация рабочих помещений и АС
6. Формирование пакета документов и подача в ФСТЭК

• Указание неактуальных или просроченных свидетельств о поверке КИО
• Несоответствие стажа работы указанным в заявлении сведениям
• Отсутствие договоров аренды с корректными реквизитами
• Применение устаревших версий НПА из перечня ФСТЭК
• Попытка получить лицензию без действующей аттестации АС

Рекомендация: предварительная консультация в Управлении ФСТЭК по федеральному округу.

• Ужесточение требований к импортозамещению СЗИ и ПО
• Внедрение ГОСТ Р 56939-2024 в практику разработки
• Цифровизация реестров лицензий и сертификатов
• Усиление контроля за техподдержкой сертифицированных продуктов
• Обновление Перечня КИО и методических документов ФСТЭК

• Официальные консультации по телефону и на сайте fstec.ru
• Публикация разъяснений и изменений в перечнях
• Мониторинг Банка данных угроз (БДУ) и уязвимостей
• Участие в рабочих группах и отраслевых конференциях
• Своевременное уведомление об изменении реквизитов

• Реализация программ ППП (от 256 ч.) и ППК (от 16 ч.)
• Слушатели: лица с дипломом о высшем/среднем проф. образовании
• Формирование компетенций по ГОСТ Р 50922-2006, ФЗ-152, ФЗ-187
• Подготовка к экзаменам и получению документов об образовании
• Повышение квалификации не реже 1 раза в 5 лет

• Лицензия — обязательное условие легальной работы в сфере ТЗИ
• Требования строго регламентированы ПП РФ № 79 и № 171
• Квалификация персонала и наличие КИО проверяются в приоритете
• Лицензионный контроль носит системный характер

• Сертификация СЗИ и аттестация объектов неразрывно связаны с лицензированием
• Актуализация знаний и документов — гарантия сохранения лицензии
• Соблюдение требований регулятора минимизирует риски штрафов и приостановки
• Профессиональное обучение в УЦ МАСКОМ формирует базу для успешной карьеры

Готов обсудить:

• Нюансы подачи заявок в текущих условиях
• Особенности аттестации АС разных классов
• Переход на отечественное ПО и СЗИ
• Планирование программ повышения квалификации

Задавайте вопросы по содержанию лекции.

Спасибо за участие в лекции!

Полученные знания помогут выстроить эффективную систему защиты информации в вашей организации.

Следующие шаги:
1. Проверить актуальность внутренних документов
2. Запланировать аудит готовности к лицензированию
3. Записаться на курсы повышения квалификации